[AI돋보기] 북한 해커, 얼굴은 바꿔도 '버릇'은 못 숨긴다

AI가 읽은 해킹의 행동 지문…IP·지갑 바꿔도 반복된 패턴

대형 한 방의 공통점, 숫자보다 움직임이 중요했다

북한 가상화폐 해킹 (PG)

[장현경 제작] 일러스트

(서울=연합뉴스) 심재훈 기자 = 북한이 올해 탈취한 가상자산 규모가 약 3조 원에 달한다는 분석이 나왔다.

천문학적인 액수보다 보안 업계가 더 주목하는 것은 그들의 '진화한 수법', 그리고 이를 쫓는 새로운 추적 기술이다.

공격 횟수는 줄었음에도 피해 규모는 오히려 커졌다.

탈취한 자금은 추적을 피하기 위해 50만 달러 미만 단위로 잘게 쪼개져 수천 개의 주소를 거쳐 갔다.

겉보기엔 우연한 소액 거래의 연속 같지만 인공지능(AI)은 이 복잡한 흐름 속에서 북한 해커 특유의 '행동 지문'을 읽어내고 있다.

IP(접속 주소)와 지갑 주소를 아무리 바꿔도 자금을 움직이는 '습관'만큼은 감추지 못했기 때문이다.

◇ '한 놈만 팬다'… 대형 표적 노리고 '필 체인'으로 증발

블록체인 분석 기업들의 최신 보고서를 종합하면 최근 북한 연계 해킹의 특징은 '선택과 집중' 그리고 '지능적 세탁'으로 요약된다.

과거처럼 무차별 난사를 하기보다는 중앙화 거래소나 브리지 등 '대형 표적'을 골라 사회공학적 기법으로 장기간 정찰한다. 이후 단 몇 번의 공격으로 치명적인 피해를 주는 전략이다.

글로벌 블록체인 분석사 체이널리시스에 따르면 북한 연계 조직은 올해 한 해 동안 최소 20억 2천만 달러(약 3조 원)를 탈취했다. 이는 전년 대비 51% 급증한 수치다.

가상자산 시장 호황으로 코인 가치가 뛴 탓도 있지만 공격의 정교함이 높아진 것이 주원인이다. 실제 전체 암호화폐 탈취액의 약 60%가 북한 소행으로 집계됐다.

돈을 훔친 뒤에는 이른바 '개미 떼 세탁'이 이어진다.

전문 용어로 '필 체인(Peel Chain)'이라 불리는 기법이다. 양파 껍질을 벗기듯 자금을 소액으로 계속 분할 전송해 자금의 원천을 흐리는 방식이다.

업비트 해킹에 당국 "북한 라자루스 유력 검토"

(서울=연합뉴스) 이진욱 기자 = 국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 사진은 28일 서울 한 지하철역에 설치된 업비트 광고. 2025.11.28 cityboy@yna.co.kr

북한 해커들은 100만~1천만 달러씩 뭉텅이로 옮기는 일반 해커들과 달리 자금을 50만 달러 미만으로 잘게 쪼갠 뒤 수천 개의 주소로 흩뿌린다.

거래소, 브릿지, 믹서 등을 겹겹이 통과시키며 추적을 따돌리는 것이다.

업계에서는 '45일의 법칙'도 거론된다. 대형 탈취 사건 발생 후 약 45일에 걸쳐 '초기 은닉→중간 분산→최종 현금화'로 이어지는 세탁 사이클이 반복적으로 관측되기 때문이다.

◇ AI, '거래'가 아닌 '행동'을 보다

사람의 눈으로는 쫓기 힘든 북한 해커들의 복잡한 자금 세탁 과정을 AI는 어떻게 잡아낼까.

AI 기반 온체인 분석의 핵심은 개별 거래가 아닌 '맥락'을 보는 데 있다.

AI는 시간, 빈도, 금액 분포, 이동 경로 등 수십 가지 지표를 종합해 하나의 '행동 서명'으로 학습한다.

분석가들에 따르면 북한 연계 주소군에서는 뚜렷한 특징이 나타난다.

▲해킹 직후가 아닌 수개월 뒤 특정 시점에 자금이 일제히 움직이고 ▲거래액이 기계적으로 균등하게 분할되며 ▲중국어권 장외거래(OTC) 브로커나 특정 브리지 등 선호하는 경로를 집요하게 이용한다는 점이다.

북한, 업비트서 이더리움 580억 털었다

(서울=연합뉴스) 임화영 기자 = 5년 전 국내 가상자산 거래소가 보관하던 580억원 규모의 가상화폐가 탈취된 사건이 북한의 소행인 것으로 확인됐다.
그간 북한의 가상자산 해킹에 대한 유엔 보고서나 외국 정부의 발표는 있었지만, 국내 수사기관이 이를 공식 확인한 것은 이번이 처음이다.
사진은 21일 오후 서울의 한 가상화폐소 현황판에 표시된 이더리움 실시간 거래 가격. 2024.11.21
hwayoung7@yna.co.kr

특히 AI는 코인의 종류를 바꿔 추적 고리를 끊는 '체인 호핑(Chain Hopping)' 구간에서도 위력을 발휘한다.

비트코인을 이더리움으로, 다시 테더로 환전하며 신분 세탁을 시도해 AI는 입출금 타이밍과 물량 패턴을 매칭해 끊어진 연결고리를 다시 이어 붙인다.

결국 AI는 "어떤 거래가 수상한가"를 넘어 "어떤 행동 패턴이 북한식인가"를 가려내는 탐정 역할을 하는 셈이다.

◇ 북한 해커 '규칙적 분할'이 되려 덜미… 안보 위협 직결

아이러니하게도 북한의 치밀함이 AI 앞에서는 약점이 됐다.

기존 금융권의 자금세탁방지(AML) 시스템은 주로 '일정 금액 이상' 같은 단순 규칙에 의존했다. 북한 해커들이 소액으로 쪼개 수천 번 거래를 반복한 것도 이 감시망을 피하기 위해서였다.

하지만 AI 분석에서는 이러한 "지나치게 규칙적인 소액 분할" 자체가 강력한 이상 신호로 잡힌다.

한 보안업계 관계자는 "한 번에 1천만 달러를 옮기는 것보다 30만 달러씩 수천 번 옮기는 행위가 AI 패턴 분석에서는 더 뚜렷한 흔적을 남긴다"고 설명했다.

이제 가상자산 해킹은 단순한 금융 범죄를 넘어 국가 안보의 영역으로 들어왔다.

미 재무부와 유엔 대북제재위원회는 북한의 해킹 수익이 대량살상무기(WMD)와 탄도미사일 개발 자금줄로 흘러 들어간다고 지적한다.

북한 정찰총국 산하 해커조직 '김수키' 정부 독자 제재

(서울=연합뉴스) 황광모 기자 = 이준일 외교부 북핵기획단장과 최현석 경찰청 사이버수사국장(오른쪽)이 2일 오전 서울 종로구 외교부에서 북한 정찰총국 산하 해커 조직 '김수키'를 독자 대북 제재 명단에 올린 것과 관련한 브리핑을 하고 있다.
2023.6.2 hkmpooh@yna.co.kr

미 재무부 해외자산통제국(OFAC) 역시 올해 제재 발표에서 디지털 자산을 이용한 북한의 자금 조달 계획을 구체적으로 명시하며 경고 수위를 높였다.

일반 투자자들 사이에서는 "내 거래내역도 AI 감시 대상이 되는 것 아니냐"는 우려도 나온다. 이에 대해 전문가들은 AI의 타깃은 정상적인 개인 투자자가 아니라고 선을 긋는다.

불규칙하고 자연스러운 개인의 거래와 달리 특정 목적을 위해 기계적으로 반복되는 북한식 세탁 패턴은 확연히 구분된다는 것이다.

결론적으로 북한 해커들이 교묘하게 얼굴(IP)은 바꿨을지 몰라도 자금을 쥐고 흔드는 버릇만큼은 AI의 눈을 피하지 못하게 됐다는 점은 향후 AI가 북한 해킹을 막는 우리의 중요한 무기가 될 수 있음을 시사한다.

president21@yna.co.kr